使用Metro + WSIT在服务端点检索纯文本WS-Security密码?
[英]Retrieve plaintext WS-Security password at service endpoint with Metro + WSIT?
问题描述
我正在编写一个SOAP服务(让我们称之为X),它充当各种“转发代理”,替换正文中的几个元素,然后调用另一个SOAP服务(Y)。 我想使用与我在Y中收到的相同的WS-Security凭证( 明文用户名和密码),但是我在检索Password元素的值时遇到了问题。
我在wsit-package.service.xml文件中声明的策略引用了com.sun.xml.wss.impl.callback.PasswordValidationCallback.PasswordValidator的实现:
<wsp1_2:Policy wsu:Id="UsernameToken"
xmlns:wsp1_2="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702"
xmlns:wsss="http://schemas.sun.com/2006/03/wss/server"
xmlns:wspp="http://java.sun.com/xml/ns/wsit/policy">
<wsp1_2:ExactlyOne>
<wsp1_2:All>
<sp:SupportingTokens>
<wsp1_2:Policy>
<sp:UsernameToken sp:IncludeToken="http://docs.oasis-open.org/
ws-sx/ws-securitypolicy/200702/IncludeToken/AlwaysToRecipient" />
<sp:IncludeTimestamp />
</wsp1_2:Policy>
</sp:SupportingTokens>
<wsss:ValidatorConfiguration wspp:visibility="private" >
<wsss:Validator name="usernameValidator"
classname="com.service.validator.SecurityValidator" />
</wsss:ValidatorConfiguration>
</wsp1_2:All>
</wsp1_2:ExactlyOne>
</wsp1_2:Policy>
我可以在验证器中访问密码:
@Override
public boolean validate(Request request) throws PasswordValidationException {
String password = ((PlainTextPasswordRequest) request).getPassword();
return true;
}
但是,由于验证程序无法访问WebServiceContext,因此没有一个方便的位置来存储我的服务端点可访问的内容。
使用其他头文件,例如WS-Addressing,我可以使用Handler( SOAPHandler<SOAPMessageContext> )来提取值,然后将它们放回到我的端点要检索的应用程序范围下的上下文中。 SOAP消息到达我的处理程序链时,WS-Security标头已被剥离,因此无法在Handler中检索它们的值。
如果没有像使用验证器将密码存储在数据库/全局映射/ threadlocal存储中这样做的话,我有没有办法检索我的端点提供的WS-Security密码?
我应该注意,我能够通过Subject subj = SubjectAccessor.getRequesterSubject(context)访问我的端点上的WS-Security用户名信息,但这似乎不包含密码。
1 个解决方案
解决方案1
1 已采纳 2012-11-19 18:34:57
由于缺乏更好的解决方案,我最终使用ThreadLocal存储来访问服务端点中的WS-Security用户名和密码:
package com.my.ws.validator;
import com.sun.xml.wss.impl.callback.PasswordValidationCallback.PasswordValidationException;
import com.sun.xml.wss.impl.callback.PasswordValidationCallback.PasswordValidator;
import com.sun.xml.wss.impl.callback.PasswordValidationCallback.PlainTextPasswordRequest;
import com.sun.xml.wss.impl.callback.PasswordValidationCallback.Request;
public class SecurityValidator implements PasswordValidator {
private static final ThreadLocal<String> username = new ThreadLocal<String>();
private static final ThreadLocal<String> password = new ThreadLocal<String>();
@Override
public boolean validate(final Request request) throws PasswordValidationException {
if (request instanceof PlainTextPasswordRequest) {
PlainTextPasswordRequest plainText = (PlainTextPasswordRequest) request;
if (null == plainText.getUsername() || plainText.getUsername().trim().isEmpty())
throw new PasswordValidationException("A username must be provided");
else
username.set(plainText.getUsername());
if (null == plainText.getPassword() || plainText.getPassword().trim().isEmpty())
throw new PasswordValidationException("A password must be provided");
else
password.set(plainText.getPassword());
return true;
}
return false;
}
public static String getUsername() {
String user = username.get();
username.remove();
return user;
}
public static String getPassword() {
String pass = password.get();
password.remove();
return pass;
}
}
有什么方法可以通过注释在Metro中实现ws-security?
[英]Is there any way to implement ws-security in metro via annotations?
在Java中为ws-security UsernameToken实现密码摘要
[英]Implementing password digest for ws-security UsernameToken in Java
Apache Rampart WS-Security:一个客户端,多个服务实例
[英]Apache Rampart WS-Security: one client, several service instances
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
使用Metro的Ws-Security标头
套接字与Metro WS-Security的复杂性
Apache CXF和WS-Security - 密码回调
有什么方法可以通过注释在Metro中实现ws-security?
ws-security-在每个请求中设置不同的用户名和密码
在Java中为ws-security UsernameToken实现密码摘要
保安和运输安全
使用C#客户端调用WS-Security Java Web服务
从Java调用.NET Web服务(WSE 2/3,WS-Security)
Apache Rampart WS-Security:一个客户端,多个服务实例
相关标签